Поделиться через

Azure Sphere: CVE

  • Статья

Внимание

Это документация по Azure Sphere (устаревшая версия). Служба Azure Sphere (устаревшая версия) выходит на пенсию 27 сентября 2027 г., и к этому времени пользователи должны перейти в Azure Sphere (интегрированная). Используйте селектор версий, расположенный над toC, чтобы просмотреть документацию по Azure Sphere (интегрированная).

Цель Корпорации Майкрософт — вознаграждать исследователей безопасности, которые заинтересованы в Azure Sphere в поиске потенциальных уязвимостей и отчетности по ним ответственно в соответствии с принципом раскрытия скоординированных уязвимостей Майкрософт и программой bounty в Microsoft Azure. Команда Azure Sphere приветствует и признает сообщество исследований безопасности за свою работу и помощь в обеспечении безопасности нашего решения с течением времени.

Мы хотим быть прозрачным в отношении наших улучшений безопасности. Мы сотрудничаем с программой CVE для публикации распространенных уязвимостей и уязвимостей (CVEs) для уязвимостей, которые были исправлены в текущих или предыдущих версиях ОС Azure Sphere.

Влияние клиентов на публикацию CVEs

CVEs для ОС публикуются только после того, как исправление доступно. Любое устройство, работающее под управлением Azure Sphere и подключенное к Интернету, автоматически обновляется. Таким образом, устройства, работающие под управлением последней версии, всегда защищены. Для устройств, которые являются новыми или не подключены к Интернету в течение некоторого времени (например, если версия ОС старше версии ОС, содержащей исправление), рекомендуется подключить устройство к безопасной, частной локальной сети с доступом к Интернету и разрешить устройству автоматически обновлять себя.

Принципы публикации CVE

CvEs могут быть опубликованы для уязвимостей в ОС Azure Sphere, которые могут быть использованы "вне поля", в течение длительного автономного периода или до подключения к службе безопасности Azure Sphere. Уязвимости в клиентских приложениях недоступны для назначения CVE. CvEs для стороннего программного обеспечения являются ответственностью соответствующего производителя.

Типы уязвимостей, для которых мы публикуем CVEs, можно описать тремя способами:

  • Предварительное воздействие: уязвимости, связанные с выключением устройства Azure Sphere и не выполняющими функцию, которую можно использовать при создании и настройке устройства.
  • Невидимое влияние: уязвимости, связанные с тем, когда устройство Azure Sphere активно выполняет функцию, но не подключено к службе безопасности Azure Sphere для обновлений, которые могут быть использованы без нарушения основной функции устройства.
  • Негативное влияние: уязвимости, которые помешать устройству Azure Sphere автоматически получать обновление или активировать откат обновления.

Содержимое CVEs Azure Sphere

CVEs для Azure Sphere состоят из краткого описания и оценки на основе системы оценки распространенных уязвимостей (CVSS),оценки эксплойтируемости, часто задаваемых вопросов и ответов по Azure Sphere и подтверждения для средства поиска, который сообщил об этом. Это содержимое необходимо в каждом CVE и включается для всех CVEs для продуктов Майкрософт.

При публикации CVEs в Azure Sphere

Записи CVE будут опубликованы во второй вторник месяца (например, Microsoft Patch вторник) после того, как исправление было доступно для клиентов. Мы ожидаем, что CVEs будут опубликованы на нерегулярной основе всякий раз, когда уязвимость сообщается нам, соответствует принципам, описанным здесь, и исправлена в последней доступной версии ОС Azure Sphere. Мы не будем публиковать CVEs до того, как исправление доступно в общедоступном виде.

Как найти CVEs в Azure Sphere

Чтобы найти список всех опубликованных CVEs для Azure Sphere, используйте "Sphere" для поиска ключевых слов в руководстве по обновлению безопасности.

Опубликованные cvEs Azure Sphere также перечислены в новой версии, в которой исправлена уязвимость.